Когда дело доходит до защиты вашей цифровой личности, может быть трудно понять, от чего вы защищаете. Цели, жертвы и методы злоумышленников сильно различаются, и эта неопределенность только возрастает по мере того, как злоумышленники пользуются хаосом, вызванным COVID-19, для кражи любой информации, до которой они могут добраться. Тем не менее, единственная достоверность, которую мы знаем, заключается в том, что кража и неправомерное использование учетных данных в Интернете связаны почти с 81% нарушений, связанных с хакерами, что делает его одной из самых распространенных атак. самые распространенные в мире. Об авторе Ник Саргинсон — старший инженер по решениям для UKI и RSA в Yubico.
Ключи от замка
Как только киберпреступник получает чьи-то учетные данные, у него появляются инструменты для раскрытия полной цифровой личности своей жертвы. Итак, если потенциальный ущерб так велик, почему эти учетные данные так легко украсть? слабые паролиЗлоумышленники пытаются использовать общие пароли с определенными или обычными именами пользователей и могут быть на удивление успешными. К сожалению, большинству людей трудно создавать или запоминать надежные пароли. В результате люди часто выбирают слабые пароли и редко их меняют. Фактически, недавнее исследование показало, что один из 142 паролей — «123456» и что 23,5 миллиона взломанных учетных записей использовали «123456» в качестве пароля. Злоупотребление повторным использованием пароля (вброс учетных данных)
Злоумышленники регулярно берут учетные данные, украденные с одного сайта, и пробуют их на другом, поскольку люди очень часто используют одну и ту же комбинацию имени пользователя и пароля или их вариант на нескольких сайтах. . Фактически, более 44 миллионов владельцев учетных записей Microsoft используют переработанные пароли! Эта проблема усугубляется огромным объемом украденных учетных данных, доступных для продажи в даркнете. Атаки «человек посередине» (MitM)
Иногда злоумышленники получают доступ к сетевому пути между компьютером жертвы и сайтом, к которому они обращаются. Это может позволить злоумышленнику увидеть, к каким сайтам кто-то обращается, и украсть их данные, если соединение не зашифровано или если жертва считает, что вредоносный сайт или система являются законными. Мошенничество с идентификацией
Фишинг обычно использует предлог, чтобы убедить кого-то напрямую раскрыть свои учетные данные или посетить сайт, который делает то же самое. Злоумышленники делают это путем проверки через SMS, электронную почту, телефон, мгновенные сообщения, социальные сети, сайты знакомств, физическую почту или любые другие доступные средства. Операция по восстановлению аккаунта
К сожалению, потоки восстановления учетной записи могут быть намного слабее, чем основной канал аутентификации. Например, компании часто используют решения с надежной двухфакторной аутентификацией (2FA) в качестве основного метода отказа от SMS. В качестве альтернативы компании могут просто разрешить персоналу службы поддержки сбрасывать учетные данные или устанавливать временные реферальные коды с помощью простого телефонного звонка и с минимальными требованиями к проверке личности или без них.
Защитите свой домен
Как только вы распознаете эти методы кражи учетных данных, вы сможете начать определять, как злоумышленники могут легко получить доступ к вашей цифровой личности. Вот несколько простых шагов, которые вы можете начать предпринимать уже сегодня, чтобы остановить эти методы кражи учетных данных: Правильно управляйте своими паролями.Важно быть максимально усердным в создании самых надежных паролей и безопасном управлении ими. В идеале надежные пароли должны генерироваться случайным образом. По крайней мере, избегайте использования информации о себе или своих друзьях и семье, такой как дни рождения, спортивные команды, имена животных и т. д. Никогда не используйте повторно пароли между сайтами. Да, это означает, что вам потребуется отдельный пароль для каждой учетной записи, которая у вас есть. Рекомендуется использовать диспетчер паролей для безопасного создания и хранения паролей. Используйте двухфакторную аутентификацию (2FA)
Даже самые безопасные имена пользователей и пароли могут быть скомпрометированы. Чтобы предотвратить это, всегда включайте 2FA, когда это возможно, чтобы гарантировать, что для доступа к вашей учетной записи требуется другая форма идентификации, помимо имени пользователя и пароля. Что бы вы ни делали, не активируйте SMS-коды в качестве второй формы аутентификации. Национальный институт стандартов и технологий (NIST) недавно сделал их очень неэффективными. Хотя некоторые службы требуют использования SMS для первоначальной настройки 2FA, вы можете отключить SMS после настройки других факторов, таких как ключи безопасности. Проверьте, прежде чем нажать
Чтобы защитить себя от фишинга по электронной почте, убедитесь, что электронное письмо является законным, спросив себя: Узнаете ли вы адрес электронной почты? В письме есть опечатки? Имеет ли смысл связь или привязанность? Когда дело доходит до веб-сайтов и ссылок, проверьте безопасность HTTPS, которая указывает на то, что веб-страница, на которой вы находитесь, безопасна и ей можно доверять, прежде чем вводить какую-либо конфиденциальную информацию. HTTPS будет отображаться в URL-адресе, а на панели также будет отображаться небольшой замок с надписью «secure» рядом с ним. Кроме того, ваш банк не будет отправлять вам электронное письмо со ссылкой для сброса пароля, всегда используйте официальное приложение для мобильного банкинга или обязательно переходите непосредственно на веб-сайт банка. Остерегайтесь сетей
Публичный Wi-Fi не считается безопасной сетью и, следовательно, дает хакерам больше преимуществ в краже информации или организации вредоносных атак. Если вам необходимо использовать общедоступный Wi-Fi, придерживайтесь сайтов, которые не обрабатывают конфиденциальную информацию. По возможности всегда избегайте общедоступных сетей Wi-Fi и используйте другие решения, такие как безопасная личная точка доступа или решение VPN. VPN затруднит определение вашей личности или местоположения третьими лицами. Однако по мере того, как мир приспосабливается к работе из дома, рекордное количество людей используют VPN для доступа к корпоративной сети, что подвергает их испытанию. Вы также можете защитить доступ к VPN с помощью MFA, чтобы убедиться, что ваша личная и деловая информация защищена. Не раскрывайте конфиденциальную информацию Любая информация может облегчить работу хакера. Это может показаться очевидным, но в эпоху социальных сетей не размещайте в общедоступных профилях информацию, которую вы не предоставили бы незнакомцу. Поскольку COVID-19 означает, что все больше людей работают из дома, возникает большее искушение заполнить этот пост на канале Facebook, который включает в себя раскрытие вашего места рождения и первого питомца. Фактически Национальный центр кибербезопасности недавно запустил новую кампанию по защите от подобных угроз.